Перейти к содержанию
AM_Bot

Mail.ru укрепляет защиту электронной почты

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

internet494sm[1]_0.jpgКомпания обеспечила дополнительную защиту пользовательских данных на Почте Mail.Ru, внедрив механизмы безопасности HTTP only, Secure cookie и разделение сессий. В Почте Mail.Ru уже давно работает большое количество технологий, обеспечивающих повышенную безопасность при работе с пользовательскими аккаунтами.

подробнее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

MitM    25

MitM
Опубликовано
Mail.ru укрепляет защиту электронной почты

Посмотрите у них на сайте. Перед вводом логина и пароля ещё не установлено HTTPS соединение, как это должно быть, и как это делают владельцы большинства нормальных сервисов, требующих авторизации пользователей.

Не понятно в какой момент HTTPS поднимается, перед отправкой пароля, или уже после. Если после, то это офигенный косяк.

Если перед, то тоже офигенный косяк, так как пользователь не видит в браузере, по какому сертификату будет установлено соединение. Может быть сертификат подменили и он станет жертвой, извините, того самого MitM :D , или обычного фишинга.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dr. Faust    62

Dr. Faust
Опубликовано
Не понятно в какой момент HTTPS поднимается, перед отправкой пароля, или уже после. Если после, то это офигенный косяк.

Сам процесс установления соединения, как бе намекает что после, пароль в явном виде не передаётся.

Если перед, то тоже офигенный косяк, так как пользователь не видит в браузере, по какому сертификату будет установлено соединение. Может быть сертификат подменили и он станет жертвой, извините, того самого MitM , или обычного фишинга.

Пользователь и не должен ни во что вникать, если сертификат просрочен/не подписан RCA/не целостен/не валиден, будет выдано предупреждение, как и в любой другой ситуации.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

а они научились юзать консольный сканер каспера или до сих пор вложения не проверяют? (но пишут, что файл проверен и вирей нет)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано
до сих пор вложения не проверяют? (но пишут, что файл проверен и вирей нет)

Жуть какая...

Не проверяют! ((

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dr. Faust    62

Dr. Faust
Опубликовано
а они научились юзать консольный сканер каспера или до сих пор вложения не проверяют? (но пишут, что файл проверен и вирей нет)

А почему вы думаете, что вложения не проверяются? Я вот когда захожу в свои мейл.ру файлы, вижу файл, описание, временную метку и то что файл просканирован касперским.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано
А почему вы думаете, что вложения не проверяются? Я вот когда захожу в свои мейл.ру файлы, вижу файл, описание, временную метку и то что файл просканирован касперским.

Ничего не проверяется. Но пишется, что проверено.

Возьмите троян, определяемый каспером, и и отправьте его с мейла на мейл. Завести вторую почту недолго и нетрудно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

OlegAndr    236

OlegAndr
Опубликовано
Посмотрите у них на сайте. Перед вводом логина и пароля ещё не установлено HTTPS соединение, как это должно быть, и как это делают владельцы большинства нормальных сервисов, требующих авторизации пользователей.

Не понятно в какой момент HTTPS поднимается, перед отправкой пароля, или уже после. Если после, то это офигенный косяк.

Если перед, то тоже офигенный косяк, так как пользователь не видит в браузере, по какому сертификату будет установлено соединение. Может быть сертификат подменили и он станет жертвой, извините, того самого MitM :D , или обычного фишинга.

На некоторых сайтах весьма активных компаний даже поля для ввода данных кредитки в обычном http бывают...

А мы говорят данные безопасно отправим.....

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано

Каким антивирусом, они интересно так "проверяют"? Или, пыль в глаза.. :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

StarForce    0

StarForce
Опубликовано

Хочешь безопасную почту пользуйся правильным сервисом

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Оффтоп выделен в отдельную тему http://www.anti-malware.ru/forum/index.php?showtopic=27344

По сути топика согласен с StarForce, давно не пользуюсь сервисами Mail.ru и никому не советую. Неработающий антивирус - это полностью в духе компании. Здесь немного обманули, здесь чуть чуть закрыли глаза на косяки, там немного подзабили.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Angel107    30

Angel107
Опубликовано
Посмотрите у них на сайте. Перед вводом логина и пароля ещё не установлено HTTPS соединение, как это должно быть, и как это делают владельцы большинства нормальных сервисов, требующих авторизации пользователей.

Не понятно в какой момент HTTPS поднимается, перед отправкой пароля, или уже после. Если после, то это офигенный косяк.

Если перед, то тоже офигенный косяк, так как пользователь не видит в браузере, по какому сертификату будет установлено соединение. Может быть сертификат подменили и он станет жертвой, извините, того самого MitM :D , или обычного фишинга.

Мне часто приходилось от друзей слышать о том как блокировалась их почта от якобы поступающих вирусов со стороны пользователя!

Оффтоп выделен в отдельную тему http://www.anti-malware.ru/forum/index.php?showtopic=27344

По сути топика согласен с StarForce, давно не пользуюсь сервисами Mail.ru и никому не советую. Неработающий антивирус - это полностью в духе компании. Здесь немного обманули, здесь чуть чуть закрыли глаза на косяки, там немного подзабили.

Полностью согласен!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Hitomi    20

Hitomi
Опубликовано
... Неработающий антивирус - это полностью в духе компании. ...

Если не секрет - на Рамблере и Яндекс как с этим дела обстоят? Кто-нибудь проверял?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано

На рамблере и яндексе антивирусная проверка работает.

eicar подтверждает.)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.      
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
×